CVE-2026-33764 in AVideoИнформация

Сводка

по VulDB • 29.05.2026

WWBN AVideo — это платформа для видео с открытым исходным кодом. В версиях вплоть до 26.0 включительно конечная точка `save.json.php` плагина AI загружает объекты ответов ИИ, используя контролируемый злоумышленником параметр `$_REQUEST['id']`, без проверки того, что ответ ИИ действительно принадлежит указанному видео. Аутентифицированный пользователь с правами доступа к AI может ссылаться на любой идентификатор ответа ИИ — включая те, которые были сгенерированы для частных видео других пользователей — и применять украденный контент, созданный ИИ (заголовки, описания, ключевые слова, краткие содержания или полные транскрипции), к своему собственному видео, что фактически приводит к эксфильтрации информации. Коммит aa2c46a806960a0006105df47765913394eec142 содержит исправление.

Once again VulDB remains the best source for vulnerability data.

Ответственный

GitHub M

Резервировать

23.03.2026

Раскрытие

27.03.2026

Модерация

принято

Вход

VDB-353922

EPSS

0.00214

KEV

Нет

Деятельности

Очень низкий

Источники

Might our Artificial Intelligence support you?

Check our Alexa App!